◈ Intelijen Keamanan AI ← Umpan harian
Kerentanan  ·  2026-06-22

AutoJack — Malicious Webpage Hijacks AutoGen Studio Browsing Agent via MCP WebSocket for Host RCE

KerentananHigh dampakGlobal
Apa yang terjadi
Tim Riset Keamanan Defender milik Microsoft mengumumkan pada 18 Juni 2026 rantai eksploitasi bernama AutoJack dalam cabang pengembangan AutoGen Studio. Halaman web berbahaya yang dirender oleh agen penelusuran AI lokal (misalnya MultimodalWebSurfer) membuka WebSocket ke ws://localhost:8081/api/mcp/ws/, melewati validasi asal dan autentikasi, dan mengirimkan muatan perintah OS yang dieksekusi oleh penanganan MCP AutoGen Studio dengan izin proses host. Tiga kelemahan berantai adalah: (1) validasi asal yang hilang pada endpoint MCP WebSocket, (2) tidak ada autentikasi pada penanganan WebSocket, dan (3) eksekusi perintah yang tidak disanitasi dalam penerus alat MCP. Permukaan rentan ada dalam build pra-rilis 0.4.3.dev1 dan 0.4.3.dev2 yang diunggah ke PyPI; rilis stabil (0.4.2.2) tidak terpengaruh. Microsoft memperkuat kode sebelum rilis stabil apa pun dikirim, tetapi dua build dev tetap berada di PyPI.
Mengapa penting
Ini adalah kelas serangan agentic yang baru: penyerang hanya perlu membuat agen penelusuran AI mengunjungi URL (melalui tautan yang ditanam, injeksi prompt, atau pengiriman URL langsung di UI), dan JavaScript halaman kemudian dapat menjangkau bidang kontrol MCP lokal yang istimewa dan menghasilkan proses arbitrer pada host pengembang atau server. Ini menunjukkan bahwa localhost bukan batas kepercayaan ketika agen AI dapat menjelajahi konten web yang tidak dipercaya dan host yang sama mengekspos layanan lokal istimewa. Jangkauan ledakan mencakup developer atau lingkungan CI apa pun yang menjalankan build dev yang terpengaruh dengan agen penelusuran.
Vektor serangan
Penyerang menginduksi agen penelusuran AI lokal untuk mengunjungi halaman web berbahaya; JavaScript halaman membuka WebSocket yang tidak terauthentikasi ke localhost:8081/api/mcp/ws/, mengirimkan perintah MCP yang dirancang, dan server mengeksekusinya sebagai proses OS di host
Sistem yang terdampak
AutoGen Studio 0.4.3.dev1 dan 0.4.3.dev2 (build PyPI pra-rilis); stabil 0.4.2.2 tidak terpengaruh
Mitigasi
Uninstal/hindari 0.4.3.dev1 dan 0.4.3.dev2; pin ke rilis stabil 0.4.2.2 (tidak ada rute MCP WebSocket). Perkuat permukaan MCP WebSocket apa pun dengan validasi asal dan autentikasi. Lihat Blog Keamanan Microsoft: https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-single-page-rce-host-running-ai-agent
Sumber
Microsoft Security Blog — AutoJack disclosure (June 18, 2026)CyberSecurityNews — AutoJack (June 20, 2026)The Hacker News — AutoJack Attack Lets One Web Page Hijack AI Agent
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →